SchwachstellenCybersicherheitCloud-Sicherheit

Sicherheitsrisiko FTP: Fast 3 Millionen Server ohne Verschlüsselung

Sicherheitsrisiko FTP: Fast 3 Millionen Server ohne Verschlüsselung
Zusammenfassung

Ein neuer Bericht der Internetanalyse-Plattform Censys offenbart eine besorgniserregende Sicherheitslücke in der globalen IT-Infrastruktur: Von etwa 6 Millionen öffentlich erreichbaren FTP-Servern weltweit verfügt fast die Hälfte über keinerlei Verschlüsselung. Das Dateiübertragungsprotokoll FTP, das bereits über 50 Jahre alt ist, gilt längst als veraltet und unsicher, da es Daten unverschlüsselt übertragen kann. Besonders problematisch ist, dass 2,45 Millionen dieser Server keine Anzeichen einer TLS-Verschlüsselung aufweisen und Anmeldedaten sowie Dateien potenziell im Klartext übertragen werden. In Deutschland allein gibt es 467.000 solcher internetgestützten FTP-Server. Für deutsche Unternehmen, Behörden und Hosting-Provider wie Hetzner bedeutet dies ein erhebliches Risiko: Cyberkriminelle könnten leicht Zugangsdaten abfangen und Systeme kompromittieren. Experten empfehlen dringend, FTP durch moderne, verschlüsselte Alternativen wie SFTP oder FTPS zu ersetzen oder zumindest die Explicit TLS-Verschlüsselung zu aktivieren – eine reine Konfigurationsänderung, die große Sicherheitsgewinne bringt.

Das halbe Jahrhundert alte FTP-Protokoll (File Transfer Protocol) dominiert weiterhin in vielen IT-Infrastrukturen — mit gravierenden Konsequenzen für die Cybersicherheit. Die aktuelle Analyse von Censys zeigt ein besorgniserregendes Bild: Von den weltweit 5,94 Millionen FTP-Servern arbeitet das Gros ohne moderne Sicherheitsmechanismen. Besonders alarmierend ist der Befund, dass 2,45 Millionen dieser Server keine Anzeichen von TLS-Verschlüsselung aufweisen. Das bedeutet: Dateien und Anmeldedaten werden potentiell im Klartext übertragen.

Eine positive Entwicklung zeigt sich zumindest in der Gesamttrends: Die Zahl der FTP-Hosts ist seit 2024 um 40 Prozent gefallen — von 10,1 Millionen auf knapp 6 Millionen Systeme. Allerdings bleibt FTP immer noch 2,72 Prozent aller im Internet sichtbaren Systeme aus. Für Deutschland bedeutet dies, dass etwa 467.000 Server mit dieser veralteten Technologie betrieben werden.

Wer ist verantwortlich?

Die Analyse offenbart ein strukturelles Problem: Größte Provider wie China Unicom (405.000 FTP-Hosts), Alibaba (227.000) und der deutsche Hoster Hetzner (138.000) beherbergen die meisten dieser Server. Auch OVH (177.000) und GoDaddy (126.000) tragen erheblich zu der Verbreitung bei. Das deutet darauf hin, dass FTP-Server häufig automatisch als Standard-Konfiguration bei Hosting-Paketen aktiviert werden.

Bei der Softwaree-Seite dominiert Pure-FTPd mit 1,99 Millionen Instanzen. ProFTPD (812.000) und vsftpd (379.000) folgen dahinter. Besonders problematisch: Microsofts IIS (Internet Information Services) mit 259.000 Services — davon haben über 150.000 nie Verschlüsselung aktiviert.

Konkrete Risiken für Unternehmen

Die fehlende Verschlüsselung bei 2,45 Millionen Servern manifestiert sich in verschiedenen Varianten: 994.000 Server unterstützen AUTH TLS nicht, 813.000 fordern Passwörter vor der Verschlüsselung an, und über 170.000 haben gar keine explizite TLS-Unterstützung. Dies schafft ideale Bedingungen für Man-in-the-Middle-Attacken und Credential-Harvesting.

Censys empfiehlt Organisationen dringend, FTP entweder vollständig zu deinstallieren oder auf moderne Alternativen zu migrieren: SFTP (SSH File Transfer Protocol) und FTPS bieten verschlüsselte Übertragungen und breite Client-Kompatibilität. Die gute Nachricht: Für die meisten Anwendungsfälle ist ein Wechsel ohne größere Störungen möglich. Selbst wenn FTP beibehalten werden muss, ist die Aktivierung von Explicit TLS eine einfache Konfigurationsänderung — kein vollständiger Protokollwechsel. Pure-FTPd und vsftpd unterstützen dies nativ.

Deutsche Unternehmen sollten ihre FTP-Infrastrukturen schnellstmöglich auditieren und sichere Alternativen implementieren.

Ähnliche Artikel